YouTrack セキュリティアップデート
これは、YouTrack で最近検出されたのちに修正されたセキュリティ脆弱性に関する発表です。 YouTrack Standalone をご利用の法人のお客様には、8 月下旬に管理者宛てに通知をお送りしましたので、この一般発表の前に YouTrack を修正バージョンにアップグレードする時間が十分にあったと思います。 お受け取りいただいたメールに記載の内容に従って対応していただいた場合は、これ以上何も実施する必要はありません。 YouTrack InCloud のお客様は、インストールの安全性を確保するために必要な手続きはすでに済ませてありますので、ご安心ください。
問題の内容
2020 年 8 月 13 日、弊社は YouTrack に見つかったセキュリティの脆弱性を修正しました。 脆弱性は、ログインユーザーまたはゲストユーザーが、文書化されていない REST API エンドポイント経由で、必要なアクセス権限なしに課題の記述を取得できるものでした。 このセキュリティ脆弱性による影響を受けたのは、この問題が修正された時点で、バージョン 3.3(2012 年 3 月 2 日リリース)からバージョン 2020.3.4313(2020 年 8 月 13 日リリース)までの YouTrack インスタンスでした。
この脆弱性は、使用廃止となった REST API の中でも最も古い REST API の 1 つに見つかりました。 残念なことに、外部セキュリティ監査と YouTrack ソースコード監査のいずれにも検出されなかった問題です。 このエンドポイントは、製品のドキュメントも含み公開資料には一度も出現したことがないことが確認されています。
対応する CVE はこちらに公開されています。
改ざんされた情報
このセキュリティの問題により、次のいずれかの項目に該当する YouTrack インスタンスに影響が出た可能性があります。
- ゲストアクセスが有効化されていた
- 攻撃者がログインしていた
こういった条件を満たす場合、文書化されていない YouTrack REST API エンドポイントを使用して、システムのアクセス権限を持たずに、課題の記述を取得することが可能でした。
残念ながら、特定の YouTrack インスタンスへのアクセスが改ざんされたかどうかを確認できる情報はありません。 ただし、インスタンスのゲストアクセスが無効化されていた場合、またはスタンドアロンの YouTrack がインターネット経由でアクセスできない状態である場合、この脆弱性を利用してデータにアクセスすることはできないため、ご安心ください。
対処内容
- 2020 年 8 月 13 日、弊社はこの問題を修正し、YouTrack 2019.1 以降のすべてのメジャーバージョンに移植しました。そのため、YouTrack スタンドアロン版を修正済みのバージョンに更新することができます。 同日、InCloud のすべてのインスタンスについても、修正済みのバージョンへの更新を完了済みです。
- すべての YouTrack スタンドアロン版管理者宛てに、アップグレードを勧告するコールトゥアクションメールを送信済みです。 その時点では、YouTrack データの安全性を確保する目的を優先したため、問題の詳細を公開しませんでした。
- 変更がコードベースにデプロイされるたびに、この脆弱性をチェックする自動テストを追加しました。
ユーザー側で必要な対処
YouTrack Standalone: YouTrack スタンドアロン版の管理者であり、メール通知を受信していない方は、弊社サイトより、2019.1 以降の YouTrack バージョン向けの最新のバグ修正バージョンを使用して、YouTrack をアップグレードしてください。
YouTrack InCloud: 8 月時点で、修正バージョンへのアップグレードが完了しています。 ユーザーが何らかの操作を行う必要はありません。
その他のヘルプが必要な場合は、サポートエンジニアにお問い合わせいただくか、以下のコメント欄をご利用ください。
このような状況になってしまいましたことを、心より深くお詫び申し上げます。
JetBrains YouTrack チーム一同
